Un certificado SSL vencido es de las caídas más bochornosas: el sitio está arriba, el server sano, el código bien — pero cada visitante choca con una advertencia a pantalla completa diciéndole que tu sitio es inseguro. Y siempre vence a las 2am de un sábado.
Por qué los certs vencen aunque exista la auto-renovación
"Usamos Let's Encrypt, se auto-renueva" es justo el equipo que se cae. La auto-renovación falla en silencio de muchas formas:
- El cron de renovación dejó de correr (caso perfecto para un dead man's switch).
- El challenge ACME (HTTP-01 / DNS-01) se rompió tras un cambio de config.
- Un CDN, balanceador o proxy sirve un certificado viejo cacheado.
- Un cert emitido a mano que nadie configuró para renovar.
Qué chequea el monitoreo SSL
| Chequeo | Por qué importa |
|---|---|
| Días hasta vencer | La métrica clave — alertar a 30 / 14 / 7 / 1 días |
| Cadena del certificado | Un intermedio faltante rompe algunos clientes |
| Coincidencia de hostname | El cert debe cubrir el dominio exacto (y www / subdominios) |
| Protocolo y cipher | Versiones TLS viejas las marcan navegadores y scanners |
Cómo configurarlo
Apuntá un monitor a tu URL HTTPS y decile con cuánta anticipación avisarte. La clave es el lead time: 7 días es tarde si tu renovación está rota. Alertá a 30 días, y de nuevo a 14 y 7.
# días hasta vencer
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -enddateNo te quedes en el certificado
Un cert vencido es una de varias caídas silenciosas — junto a un cron muerto, un dominio vencido o un endpoint devolviendo 500. Nurbak Watch monitorea el vencimiento del certificado SSL junto a uptime, endpoints y heartbeats, con alertas por Slack, email y WhatsApp con tiempo para arreglarlo.